事件经过
在 Langflow 1.9.2 之前,"可共享游乐场"(公共流)功能允许未经身份验证的用户通过使用公共流的 ID 调用 /api/v1/run/{flow_id}/public 来执行工作流。由于流可以包含任意 Python 代码执行节点(例如 Python Code 组件),任何触发此类流的未经身份验证的互联网可访问请求都会在服务器上实现远程代码执行。NVD 确认 CVSS 9.6 严重,发布于 2026-06-23。
影响分析
Langflow 广泛用于构建生产 AI 代理管道。任何具有共享流的面向公众的 Langflow 实例都会立即可被 RCE 攻击利用,无需任何凭证 — 攻击者可以窃取模型密钥、API 密钥、训练数据,并横向移动到底层 AI 基础设施。VentureBeat 确认在同一披露窗口中约 7,000 台 Langflow 服务器遭到积极攻击。
攻击途径
未经身份验证的 HTTP POST 到 /api/v1/run/{flow_id}/public 触发执行攻击者影响的流节点,包括任意 Python 代码组件
受影响系统
Langflow < 1.9.2
缓解措施
升级到 Langflow 1.9.2+。如果无法立即升级,请禁用公共/共享流。公告:https://github.com/langflow-ai/langflow/security/advisories/GHSA-v5ff-9q35-q26f